【202508041】侵入医疗机构挂号系统抢号牟利行为的定性
文 / 王玲;张琴
【裁判要旨】医疗机构挂号系统正常运行,可以公平公正地向不特定社会公众发放诊疗服务预约凭证。被告人侵入该系统抢号牟利的行为导致系统设定的目标不能实现,破坏了该系统的正常运行,应当认定其行为构成破坏计算机信息系统罪。
□案号 一审:(2023)渝 0104 刑初 282 号 二审:(2024)渝 05 刑终 199 号
【案情】
公诉机关:重庆市大渡口区人民检察院。
被告人:逮某、杨某、李某勇。
法院经审理查明:2020 年 1 月至 2023 年 3 月,由被告人逮某、李某勇联系有挂号需求的患者,确定各医院抢号的代挂费,然后使用杨某提供的软件将患者的挂号信息通过对应医院的网址流转至杨某的电脑上,杨某负责运行抢号程序,待医院正式开始放号时自动完成快速批量的抢号。抢号成功后,逮某、李某勇将抢号情况告知患者并收取高额的抢号代挂费,以此获利。其间,被告人通过上述方式针对北京、重庆、四川等地的多家知名医院的挂号系统实施抢号行为,共获利 200 余万元。2023 年初,3 名被告人陆续被公安机关抓获。经鉴定,上述提取到的抢号程序增加了医院挂号系统中存储的数据。
公诉机关以三被告人犯破坏计算机信息系统罪,向法院提起公诉。
【审判】
重庆市大渡口区人民法院一审认为,被告人逮某、杨某、李某勇违反国家规定,对计算机信息系统中存储的数据进行增加的操作,造成计算机信息系统不能正常运行,后果特别严重,其行为均构成破坏计算机信息系统罪。公诉机关指控被告人逮某、杨某、李某勇的事实及罪名成立,法院予以支持。公诉机关的量刑建议适当,各辩护人以各被告人分别具有法定、酌定从轻处罚情节为由提出的对各被告人从轻处罚的辩护意见成立,法院予以采纳。大渡口区法院遂以三被告人犯破坏计算机系统罪分别判处有期徒刑 6 年 4 个月、5 年 10 个月、5 年,并判决追缴违法所得 200 余万元、扣押作案工具并依法予以没收。
一审宣判之后,被告人逮某、李某勇提出上诉,二审期间逮某撤回上诉。李某勇认为一审法院对其犯罪行为的定性错误、从轻情节未认定,请求二审法院对其从轻处罚并适用缓刑。
重庆市第五中级人民法院经审理后认为,原判充分考虑李某勇的犯罪事实及相关从轻情节,对其所判刑罚适当,故该上诉和辩护意见均不予采纳,原判认定事实和适用法律正确,量刑适当,审判程序合法,遂裁定准许上诉人逮某撤回上诉,驳回上诉人李某勇的上诉,维持原判。
【评析】
本案被告人利用医院的网络安全漏洞,通过非法技术手段获取医院的诊疗服务号,该行为扰乱了正常的医疗秩序、侵害了公众利益,加剧了群众的看病难问题。持续时间久、涉及范围广、非法获利巨大,其行为已经属于刑法打击的范围,但是对被告人的行为如何定性,在审理过程中主要有以下三种观点:
第一种意见认为:被告人通过技术手段进入医院的计算机系统,并未对该系统造成破坏,该系统能够正常使用,被告人仅是能够早于他人抢到诊疗服务号,公立医院属于具有公益性的社会组织,涉及国家事务,因此应定性为非法侵入计算机信息系统罪。
第二种意见认为:被告人通过技术手段控制了医院的诊疗服务号系统,并未影响该系统设定的在指定时间随机发放固定数量的诊疗服务号,也没有造成医院其他计算机信息系统发生故障,对于医院的正常秩序未造成妨害,应该认定为非法控制计算机信息系统罪。
第三种意见认为:被告人对计算机信息系统中存储的数据进行增加的操作,导致有就医需求的患者无法通过正常网络操作进行抢号,致使该系统为了保障公平公正分配诊疗服务号的功能失灵,造成计算机信息系统不能正常运行,后果特别严重,其行为构成破坏计算机信息系统罪。
笔者同意第三种意见,理由如下:
一、普通的民用医疗系统不涉及国家安全事务
依据刑法规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为属于非法侵入计算机信息系统罪。最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》指出,“国家事务、国防建设、尖端科学技术领域的计算机信息系统”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验,司法机关根据检验结论,并结合案件具体情况认定。本案所涉及的医院均为公立医院,从宏观意义上看属于国家出资建立的医疗机构,满足人民群众的医疗需求也属于国家事务范畴,然而非法侵入计算机信息系统罪区别于非法控制计算机信息系统罪就在于非法犯罪的对象不同,侵入计算机信息系统罪主要保护的法益应是国家安全。
侵入计算机系统就是未经有关部门的授权和许可,擅自通过计算机终端登录访问国家事务、国防建设、尖端科学技术领域的计算机系统或者对相关数据进行截取,这种侵入并不会影响计算机系统的正常运行,但是该计算机系统内部的信息会因此泄露,这些信息往往涉及国家机密,关乎国家安全。国家安全法明确指出国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。此处对于“安全”一词的理解仍存有疑问。安全似乎是一个模糊概念。[1] 在本案中,公立医院分配诊疗服务号的计算机系统属于医院整体计算机系统的子系统,该子系统从其影响范围来看并不属于国家事务。被告人通过技术手段进入该系统并未对该医院的整体医疗秩序造成影响,也未对大范围的医疗秩序造成影响,因此不宜认定本案涉及的发放诊疗服务号的医疗计算机系统涉及国家安全,因为也不能认定涉及国家事务。
侵入计算机信息系统的行为并不一定会构成非法侵入计算机信息系统罪,该罪保护的法益属于国家安全,虽然本案被告人采取技术手段侵入了医院的挂号系统,但该系统并不属于国家事务的范畴,刑法对侵入对象进行了限定,因而不能认定本案被告人犯非法侵入计算机信息系统罪。
二、计算机信息系统正常运行应以应用目标和规则为准
刑法规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的属于破坏计算机信息系统罪。计算机信息系统功能,是指计算机系统内,按照一定的应用目标和规则,对信息进行采集、加工、存储、传输、检索等功能。[2] 认定本案抢诊疗服务号转卖牟利行为的性质,要充分考虑医院挂号系统的功能,具体而言就是该系统设置所追求的应用目标和规则。本案所涉犯罪属于刑法分则中的妨害社会管理秩序罪,该类罪名的设置就是为了维护社会管理的秩序,对于大型的知名医院来说,其部分资深医师属于社会性的稀缺资源,该类医师的诊疗服务自然会被更多的患者青睐,如何公平公正公开地分配这些诊疗服务号,是卫生健康行政部门、医疗机构应该实际执行的事务。为了保障社会管理秩序的正常运行,这些稀缺的诊疗服务号通过互联网平台进行发放能够最大限度地实现公平公正,每个患者都能通过普通的计算机终端,例如手机、电脑等在指定的时间抢诊疗服务号,这种方式对于每个患者都是公开的,且能够最大限度地实现公平公正。
因此医院挂号系统的应用目标非常明确,不仅是把数量固定的诊疗服务号分配出去,更为关键的是在范围上、技术上、成本上均实现公平公正,也就是说诊疗服务号被公平公正地分配才是医院挂号系统的终极性应用目标。参与抢号的个人具有广泛性,其使用互联网的技术水平不存在显著差异,最终抢到诊疗服务号的时间和经济成本也不存在显著差异。在本案中,三名被告人利用自身技术优势进入医院挂号系统,将所有或部分诊疗服务号强制分配给自己意向的账号,这就导致了技术性的不平等,同时分配账号的目标也失去了随机性,造成了范围上的人为限缩。同时也增加了希望抢到诊疗服务号患者的时间成本和经济成本,直接导致公平公正分配诊疗服务号的功能失灵。
医院发放诊疗服务号的系统设定了相应规则,该规则就是要求任何参与抢号的个人都不能使用技术性作弊手段,规则要求参与抢号的个人要在规定的时间内向系统发出分配诊疗服务号的请求。本案被告人破坏了这个时间性规则,通过提前进入系统增加数据,进而提前锁定了意向数量的诊疗服务号,最终导致规则被破坏。
三、非法控制计算机信息系统并不导致计算机系统不能正常运行
刑法规定,违反国家规定,侵入涉及国家安全以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的属于非法控制计算机信息系统罪。如何正确区分非法控制计算机信息系统罪和破坏计算机信息系统罪,仅从刑法及相关司法解释的字面含义来判断的话容易产生混淆,而且也是司法实践中的一大难题。其中焦点就在于如何理解“造成计算机信息系统不能正常运行”。[3] 根据刑法第二百八十六条的规定,破坏计算机信息系统罪的构成要件包含两种类型的破坏行为:(1)对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;(2)对计算机信息系统中的数据和程序进行操作且后果严重。很显然,本案中的犯罪方式符合第一种情形。
最高人民法院 2020 年 12 月 29 日发布的第 145 号指导案例张竣杰等非法控制计算机信息系统案指出,通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。被告人对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。法院裁判认为,被告人虽对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏,或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪。
根据前述 145 号指导案例的裁判精神,不难看出被告人的行为是否影响系统的正常运行是区分非法控制计算机信息系统罪和破坏计算机信息系统罪的标准。非法控制计算机系统虽然通过“修改、增加”等方式给计算机系统增加了技术性风险,但是这种控制并不希望计算机系统的功能丧失,反而是希望该系统能够正常运行,类似于寄生物不希望宿主死亡,宿主越健康越长寿反而越利于寄生物。前述指导性案例中犯罪分子植入木马程序主要是借助系统的正常运行获取赌博广告更多的点击率,犯罪分子目的的实现高度依赖于相关计算机系统的正常运行。本案所涉医疗机构的挂号系统被进行了增加的操作,既没有导致该系统无法放号,也没有增加或减少诊疗服务号每次发放的数量,更没有改变诊疗服务号发放的时间,仅从这个角度来看该系统的运行似乎是正常的,但是根据前述内容认定计算机信息系统功能是否正常运行,应该考虑该系统的应用目标和规则,很显然医院公平公正分配诊疗服务号的系统功能设置目标无法实现,该计算机系统未实现正常的运行,所以说本案不宜认定为非法控制计算机信息系统罪。
四、本案中侵入挂号系统抢号的行为构成破坏计算机信息系统罪
根据前文论述,本案中侵入医疗机构计算机系统抢诊疗服务号的行为不属于非法侵入计算机信息系统罪,也不能认定为非法控制计算机系统罪,再根据从三类罪名主要保护的法益来看,本案宜认定为破坏计算机信息系统罪。自 1997 年刑法设立破坏计算机信息系统罪以来,关于本罪的法益到底为何,学界多有争论。学界的观点可以概括为秩序法益说、计算机信息系统安全说和双法益说。[4]
从本案的具体案情出发,本案所涉及的破坏计算机系统行为侵害了社会秩序和计算机系统安全,笔者赞同破坏计算机信息系统罪的双法益说,同时认为非法控制计算机信息系统罪主要保护的法益是计算机信息系统的安全。当然,破坏计算机信息系统罪与非法控制计算机信息系罪并不是对立关系。对计算机信息系统功能进行删除、修改、增加、干扰,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,完全可能同时非法控制了计算机信息系统。在这种情况下,应当视具体案情按照包括的一罪或者想象竞合处理。[5]
非法控制计算机系统主要影响的就是计算机系统的安全,影响了安全就说明行为给系统带来了风险或者增加了风险,这种风险就是导致系统无法正常运行的风险。例如被植入违法广告的网站可能因为服务器过载导致网站崩溃无法打开,也可能是包含违法信息被执法机关查处并关闭,这些都是系统被非法控制之后可能发生的安全隐患。破坏计算机信息系统罪同时侵害了计算机信息系统的安全性,还扰乱了社会秩序,本案中的医疗机构挂号系统正常运行直接关系医疗秩序,保障就医公平历来是国家维护的重要社会秩序,2024 年 2 月,国家卫健委等部门联合发布的《关于加强医疗监督跨部门执法联动工作的意见》指出:要严厉打击破坏公平就医秩序的行为,要指导医疗机构加强网上挂号系统安全防范,采取措施提升预警反制效能,不断堵塞漏洞、防范风险。本案被告人通过技术手段侵入医疗机构的挂号系统截取稀缺的就医机会,很显然破坏了公平就医秩序,导致正常的挂号系统无法正常运行,应当认定为破坏计算机信息系统罪。
【注释】
作者单位:西南政法大学;重庆市大渡口区人民法院
[1] 梁上上:《利益衡量论》,北京大学出版社 2021 年版,第 267 页。
[2] 张明楷:《刑法学》(第六版),法律出版社 2021 年版,第 1374 页。
[3] 林维:“新型抢号牟利行为的罪与非罪”,载《人民检察》2023 年第 2 期。
[4] 徐春成、林腾龙:“教义学视角下破坏计算机信息系统罪的法益论辩”,载《科技与法律(中英文)》2023 年第 4 期。
[5] 张明楷:《刑法学》(第六版),法律出版社 2021 年版,第 1376 页。